セキュリティ研修を専門にする企業が騙された。この皮肉な事実が業界に衝撃を与えました。KnowBe4は世界的なセキュリティ意識向上トレーニングの会社です。しかし、北朝鮮の工作員がディープフェイクを使って従業員として潜入しました。そこで今回は、KnowBe4偽装ディープフェイク事件から企業セキュリティ教育の再設計について考えます。
KnowBe4偽装ディープフェイク事件の詳細
2024年7月にこの事件は発覚しました。KnowBe4の内部ITチームにソフトウェアエンジニアとして採用された人物が、実は北朝鮮の工作員でした。つまり、盗まれた米国人のIDとAI加工された写真で面接を突破したのです。
具体的には、4回のビデオ面接を通過しています。さらに、バックグラウンドチェックもクリアしました。なぜなら、盗まれたIDの情報が使われていたからです。しかし、採用後に不審な行動が検出されました。実際、マルウェアのインストールを試みたのです。
幸い、最初のセキュリティアラートから25分以内にアクセスが遮断されました。また、データの漏洩や侵害は発生していません。しかし、セキュリティ研修の専門企業ですら騙されたという事実は重いです。特に、この工作員はVPNを使って米国の営業時間に合わせて北朝鮮や中国から作業していました。
なぜディープフェイクが採用プロセスを突破できるのか
現代のディープフェイク技術は急速に進化しています。そのため、ビデオ面接での本人確認が難しくなっています。
まず、AI加工された写真は肉眼で見分けられません。具体的には、本人の顔写真を微調整して別人のIDと組み合わせます。さらに、リアルタイムの映像変換も可能になっています。つまり、ビデオ通話中に顔を別人に差し替えることもできるのです。
また、北朝鮮はこの手法を組織的に展開しています。実際、数千人規模の工作員がリモートワーカーとして世界中の企業に潜入しようとしています。しかし、彼らの目的は知的財産の窃取だけではありません。給与を北朝鮮政府に送金するという経済的な動機もあります。したがって、これは単なるハッキングではなく国家レベルの組織犯罪です。
企業セキュリティ教育を設計し直すポイント
この事件から学べる教訓はいくつかあります。そこで、セキュリティ教育の再設計ポイントを整理します。
まず、採用プロセス自体をセキュリティの対象にすることです。つまり、面接だけでなく身元確認の方法を強化します。具体的には、ビデオ面接に加えて対面での確認を組み合わせましょう。しかし、フルリモートの職種ではこれが難しい場合もあります。そのため、生体認証や公的機関との照合を追加する方法もあります。
次に、セキュリティ教育の内容をアップデートしましょう。たとえば、ディープフェイクの見分け方を研修に含めます。さらに、「同僚が偽者かもしれない」という想定も必要です。特に、不審な行動を報告する文化を醸成することが重要です。なお、KnowBe4の場合は検出が迅速だったことが被害を防ぎました。
また、オンボーディング時のアクセス制限も見直しましょう。具体的には、最初の数週間は最小限のアクセス権のみを付与します。さらに、異常行動の監視を強化します。実際、KnowBe4はこの制限のおかげでデータ漏洩を防げました。したがって、最小権限の原則が効果を発揮した好例です。
ディープフェイク時代のリモート採用で注意すべきこと
リモート採用は今後も続きます。しかし、ディープフェイクリスクへの対策は不可欠です。
まず、面接プロセスで予期しない質問や動作を求めることが有効です。たとえば、カメラの前で特定のジェスチャーをしてもらいます。ディープフェイクはリアルタイムの不規則な動きに弱い傾向があります。ただし、技術は日々進化しているのでこの方法だけに頼るのは危険です。
次に、複数の身元確認手段を組み合わせましょう。具体的には、公的身分証の確認に加えてSNSのプロフィールや過去の実績も検証します。しかし、工作員がこれらも偽装している場合があります。むしろ、直接的な参照元(元同僚や上司)への電話確認が効果的です。
加えて、採用後のモニタリングも重要です。つまり、通常とは異なるログイン場所やアクセスパターンを検出する仕組みです。特に、VPN経由のアクセスが多い場合は追加の確認を行いましょう。だからこそ、SIEM(セキュリティ情報・イベント管理)ツールの活用が推奨されます。
KnowBe4事件のまとめ
KnowBe4の事件はセキュリティ業界への強烈な警鐘です。しかし、KnowBe4が事件を公開した姿勢は称賛に値します。だからこそ、他の企業もこの事例から学ぶべきです。特に、採用プロセスのセキュリティとオンボーディングの最小権限原則が鍵です。まずは自社の採用プロセスにディープフェイク対策が含まれているか確認してみてください。